Помогите расшифровать. новый шифровальщик

[melekhin]

{KIARA}.SN-4793544493933116-kiaracript@gmail.com

 

вот такое содержимое файла с инструкциями

 

Обнаружен объект: Троян Trojan.BAT.BitCoinMiner.dg.

Имя объекта: C:\Users\Valentina\Desktop\MGP.exe//Hide.vbs 

 

Обнаружен объект: Троян Trojan-Dropper.MSIL.Mine.dg.

Имя объекта: C:\Users\Valentina\Desktop\svshost.exe 

 

пользователь валентина имел лёгкий пароль, и возможно его взломали, подобрали пароль к сессии RDP...

 

запаковал все расшареные папки в локальной сети... 

 

какие наши действия? Зайти под этим пользователем и запустить утилиту сбора логов? или можно изпод админа? Сервер виртуальный 2008R2

CollectionLog-2017.12.11-12.22.zip

[Sandor]

Здравствуйте!

 

Файл

C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT

вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Valentina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp', '');
 QuarantineFile('C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT', '');
 DeleteFile('C:\Users\Valentina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp', '32');
 DeleteFile('C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-729847823-1059420049-4267801177-1008\Software\Microsoft\Windows\CurrentVersion\Run', '{CDE0DCAA-D176-5A46-B7B5-2174B5E77F1E}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[melekhin]

Здравствуйте!

 

Файл

C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT

вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

 

пользователя уже отключили и его папку удалили ( к сожалению...

--.rar

[Sandor]

Продолжайте.